Cos'è il contenuto misto?

Contenuto misto: Perché non si dovrebbe usare il contenuto HTTP sul proprio sito web HTTPS

L'aggiornamento del vostro sito web al protocollo HTTPS (Hypertext Transfer Protocol Secure) può proteggerlo dalle minacce informatiche criptando i dati in transito. Una volta aggiornato, tutti i dati inviati al o dal vostro sito web saranno crittografati utilizzando un certificato Transport Layer Security (TLS). Il certificato TLS essenzialmente scramble i dati in transito in modo che siano decifrabili solo dagli utenti appropriati.

Anche se il vostro sito web ha un certificato TLS installato e attivato, tuttavia, potrebbe utilizzare il caricamento di alcuni dei suoi contenuto attraverso una connessione Hypertext Transfer Protocol (HTTP). Un difetto di progettazione noto come contenuto misto, che pone diversi problemi al vostro sito web.

Cos'è il contenuto misto?

Il contenuto misto coinvolge una pagina web HTTPS che carica parte del suo contenuto su una connessione HTTP. Le pagine web consistono tipicamente in più di un Hypertext Markup (HTML); possono contenere immaginivideo, script, fogli di stile e altri tipi di contenuti. Se una pagina web HTTPS carica parte del suo contenuto attraverso una connessione HTTP, ha un contenuto misto.

Esistono due tipi principali di contenuti misti nei siti web: quelli passivi e quelli attivi. Il primo consiste in contenuti caricati via HTTP che non interagiscono con la pagina web in cui sono pubblicati, mentre il secondo consiste in contenuti caricati via HTTP che interagiscono con la pagina web in cui sono pubblicati.

Le immagini e i video non interagiscono con le pagine web, quindi sono classificati come contenuti misti passivi. Gli script e i fogli di stile, invece, possono modificare il layout o la funzionalità delle pagine web, quindi sono classificati come contenuti misti attivi.

Cosa Cause Contenuto misto?

Nella maggior parte dei casi, il contenuto misto è il risultato di un'incompleta migrazione da HTTP a HTTPS. Quando si migra il sito web a HTTPS, è necessario modificare il parametro URL dei contenuti caricati in modo che presentino il prefisso "https". Ad esempio, se un'immagine si trova all'indirizzo "http://example.com/category/image-name.jpg", è necessario cambiarne la posizione in "https://example.com/category/image-name.jpg".

L'aggiunta di una singola lettera al percorso di un'immagine può sembrare insignificante, ma indica al vostro sito web di caricare quell'immagine tramite una connessione HTTPS. Se un'immagine utilizza il prefisso standard "http" nella sua posizione indirizzo, si caricherà per i visitatori su una connessione HTTP, invece.

Naturalmente, questa regola si applica a tutte le forme di contenuto che gli utenti devono caricare quando visitano il tuo sito web. Ogni pezzo di contenuto caricato ha un URL che denota la sua posizione. Per una migrazione completa da HTTP a HTTPS, è necessario aggiornare tutti questi URL. Altrimenti, il tuo sito web avrà un contenuto misto.

I pericoli del contenuto misto

Lasciare che i contenuti misti passino inosservati può causare numerosi problemi. Per cominciare, può impedire che il vostro sito web visualizzi l'icona del lucchetto sicuro accanto al suo dominio nome. Le pagine Web con contenuti misti utilizzano un misto di connessioni HTTP e HTTPS, quindi non sono completamente sicure. Al caricamento di una pagina a contenuto misto, i visitatori troveranno un messaggio "non sicuro" nella barra degli indirizzi del browser anziché l'icona del lucchetto sicuro.

I browser Web spesso bloccano i contenuti misti per impostazione predefinita. Firefox, ad esempio, blocca automaticamente tutti i contenuti misti attivi, mentre Chrome li blocca sia attivi che passivi. I visitatori possono comunque accedere ai contenuti misti sul vostro sito web, ma dovranno selezionare l'opzione nel loro browser per caricare i contenuti non sicuri. Tuttavia, poiché i browser web avvertono gli utenti dei pericoli dei contenuti misti, la maggior parte degli utenti probabilmente abbandonerà il vostro sito web piuttosto che permetterne il caricamento.

Poiché viene caricato tramite una connessione HTTP, il contenuto misto rende il vostro sito web suscettibile di hacking. L'HTTPS è progettato per creare una connessione sicura tra il vostro sito web e gli utenti che lo visitano. Quando un utente scarica o carica dati dal vostro sito web, l'HTTPS li cripta. I contenuti misti vengono caricati tramite una connessione HTTP, quindi tutti i dati scambiati ad essi associati non vengono crittografati.

I contenuti misti attivi rappresentano un grave rischio per la sicurezza che gli hacker possono sfruttare per scopi dannosi. Se un hacker si inserisce nella connessione tra i visitatori del vostro sito web e un contenuto misto attivo, può modificare l'aspetto o la funzionalità del vostro sito. Un modulo di accesso basato su script potrebbe essere modificato in un modulo di accesso falso che ruba le credenziali dei visitatori, oppure l'intero sito web potrebbe essere reindirizzato a un sito di spam nefasto.

I contenuti misti passivi sono meno preoccupanti perché non interagiscono con le pagine web, ma bisogna comunque cercare di evitarli. Le immagini caricate tramite una connessione HTTP, ad esempio, possono essere modificate. Un hacker potrebbe sostituire un'immagine del vostro sito web con un annuncio pubblicitario. Invece di vedere l'immagine reale, gli utenti vedranno l'annuncio dell'hacker quando caricheranno la pagina web.

Infine, i contenuti misti possono influire negativamente sulla cerca classifiche. HTTPS è un diretto ranking signal deployed by Google’s algorithm. Mixed content breaks HTTPS by loading some content over an HTTP connection. HTML files may still load over an HTTPS connection, but the mixed content will use an insecure protocol that lacks the encryption technology of HTTPS. Therefore, Google may give your website lower rankings if it has mixed content.

Come identificare il contenuto misto sul tuo sito web

È possibile trovare contenuti misti sul proprio sito web semplicemente visitando le sue pagine web e cercando un messaggio di avviso nel browser. Si consiglia di utilizzare Chrome a tale scopo, poiché il browser a marchio Google blocca i contenuti misti sia passivi che attivi. Se una pagina contiene contenuti misti, Chrome la bloccherà visualizzando un messaggio di avviso vicino alla barra degli indirizzi. Esaminare ogni pagina web del proprio sito per determinare che quelli che attivano un messaggio di avviso di contenuto misto.

Un modo più semplice per identificare i contenuti misti sul vostro sito web è utilizzare lo strumento HTTPS-checker di JitBit. Disponibile all'indirizzo jitbit.com/sslcheck, questo strumento strisciare fino a 400 pagine del vostro sito web alla ricerca di contenuti misti. Se il vostro sito web presenta contenuti misti, lo strumento di JitBit lo rivelerà.

Ogni contenuto caricato sul suo sito web deve utilizzare una connessione HTTPS. Se qualsiasi contenuto viene caricato su una connessione HTTP, il tuo sito web avrà un contenuto misto che danneggia il suo traffico, la sicurezza e le classifiche.